¿Qué se almacena en% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?

17

Ocasionalmente observo en el Monitor de recursos la actividad del disco duro relacionada con los archivos ETL en la carpeta C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.

¿Qué proceso / servicio crea estos archivos ETL y cuál es su propósito?

El Monitor de recursos muestra "Sistema" como el proceso correcto, ya que el núcleo crea trazas ETW (que son los archivos ETL). Pero estoy interesado en el proceso que hace que se creen los rastros.

Esto sucede en Windows 7, por cierto.

Helge Klein
fuente

Respuestas:

10

Encontré la respuesta yo mismo después de investigar un poco más.

El directorio C:\Windows\System32\LogFiles\WMI\RtBackupalmacena archivos de rastreo ETW (extensión .etl) para sesiones de rastreo de eventos en tiempo real. Buscar en el directorio RtBackup es un poco difícil porque de forma predeterminada solo el sistema tiene permisos, pero mi aplicación SetACL Studio puede mostrar el contenido de todos modos. Al colocar el contenido del directorio al lado de la lista de sesiones de rastreo de eventos en ejecución, uno nota inmediatamente las similitudes:

ingrese la descripción de la imagen aquí

ingrese la descripción de la imagen aquí

No todas las sesiones de seguimiento de eventos generan un archivo en el directorio RtBackup. Como su nombre lo indica, almacena copias de seguridad para sesiones de rastreo en tiempo real . La comparación de la lista de archivos en RtBackup con las propiedades de cada sesión de rastreo confirma esto:

ingrese la descripción de la imagen aquí

Helge Klein
fuente
2

Esperaba que esta fuera una respuesta fácil, pero supongo que tendría que forzar una lectura / escritura del archivo o saber cuándo está sucediendo. En cualquier caso, esto es lo que intenté con la esperanza de una única y rápida. Necesitará el mango utilidad de SysInternals.

\path\to\handle.exe | find /i "etl"

Buena suerte y feliz caza.

songei2f
fuente
1
El kernel accede al archivo ETL. Eso lo veo en el Monitor de recursos. Mi pregunta es, ¿quién hace que el núcleo cree el archivo en primer lugar?
Helge Klein
Okay. Posible técnica para determinar su respuesta. Son solo archivos de respaldo, así que muévalos ( no los elimine ) a una ubicación separada. Ejecute Monitor de proceso . Cree un filtro en los nombres de archivo y observe las llamadas a la API de Kernel y hasta que se creen. Aparentemente, es posible que necesite involucrar los símbolos de depuración . Sé que este no es un consejo sólido, pero esta es la mejor manera en que puedo pensar. Lo siento si no ayuda demasiado.
songei2f